Política geral de privacidade e proteção de dados pessoais

A (razão social), doravente EMISSORA.

A EMISSORA entende que a privacidade é um direito fundamental da pessoa natural, de modo que se faz necessário garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos dos seus titulares.

Dessa forma, a EMISSORA está comprometida com uma gestão efetiva da proteção de dados pessoais dos seus integrantes, parceiros e clientes, razão pela qual institui a presente Política Geral de Privacidade e Proteção

de Dados Pessoais ('Política').

A presente política tem como objetivo fortalecer o compromisso assumido com a inovação, os padrões de ética e de probidade que regem atuação profissional da emissora e a contínua valorização dos seus integrantes, clientes e parceiros, pelo que adota todas medidas cabíveis para garantir que esta Política seja adequadamente divulgada, entendida e cumprida por todos os seus integrantes.

1. Objetivos

A EMISSORA adota a presente Política como documento integrante do seu sistema de gestão corporativo, compatível com os requisitos da legislação brasileira, com o objetivo de estabelecer diretrizes para que o tratamento de dados pessoais seja realizado em níveis adequados de proteção, mediante a adoção de controles técnicos e administrativos necessários ao atendimento dos requisitos previstos na legislação vigente.

A presente Política objetiva, ainda, prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais e minimizar os riscos de perdas financeiras, da confiança de clientes ou de qualquer outro impacto negativo como resultado de violações de dados.

2. Ambiente normativo

A presente Política foi elaborada tendo por base a Lei n.º 13.709/2018 - Lei Geral de Proteção de Dados (LGPD), assim como outras legislações do ordenamento jurídico que possam interferir nesta Política, bem como as diretrizes estabelecidas pela ABNT NBR ISO/IEC 27701:2020, e pela ISSO 27001:2013. (Caso a emissora opte por não entrar em conformidade com as outras normas acima destacadas, os termos acima devem ser adaptados de acordo com cada caso.)

3. Aplicação

A presente Política se aplica a qualquer operação de tratamento de dados pessoais realizada pela EMISSORA, independentemente do meio ou do país onde estejam localizados os dados, nos termos da LGPD.

Os princípios e conceitos adotados nesta Política são os constantes na LGPD e deverão seguir normas que complementem ou alterem o presente documento. Dentre eles, tem-se em especial que a EMISSORA tratará apenas os dados estritamente necessários para o desempenho da finalidade do tratamento, o qual lhe deverá ser adequado, transparente, não discriminatório e seguro.

A EMISSORA garante ainda que viabilizará o livre acesso e a qualidade dos dados, assim como que tomará medidas adequadas e razoáveis de prevenção e para o atendimento à LGPD.

4. Diretrizes

São diretrizes da EMISSORA para esta Política:

– Garantir a conformidade integral com leis e regulamentações de proteção de Dados Pessoais.

– Garantir a adoção de controles de segurança da informação, tanto técnicos quanto administrativos, suficientes para assegurar níveis de proteção adequados para Dados Pessoais;

– Garantir a contínua melhoria da gestão de proteção de dados pessoais por meio da definição e revisão sistemática de objetivos de privacidade e proteção de dados pessoais em todos os níveis de sua organização profissional;

– Garantir a documentação, implementação e comunicação das Políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados adotadas pela emissora;

– Garantir que o tratamento dos dados pessoais seja realizado em conformidade com as hipóteses autorizadoras previstas na legislação vigente, solicitando-se o consentimento do titular nas ocasiões em que lei exigir;

– Garantir o tratamento apenas dos dados pessoais estritamente necessários e adequados à finalidade pretendida, explícita e legítima, e somente enquanto perdurarem os propósitos declarados;

– Garantir a precisão e qualidade dos dados pessoais tratados, excetuando-se casos em que exista uma base legal para a manutenção de dados desatualizados.

– Garantir a não discriminação no tratamento de dados pessoais, impossibilitando que estes sejam usados para fins discriminatórios, ilícitos ou abusivos.

– Garantir a retenção dos dados pessoais apenas pelo tempo necessário para cumprir os propósitos declarados e, posteriormente, destruí-los, bloqueá-los ou anonimizá-los com segurança, salvo quando a retenção for exigida pela legislação vigente;

– Garantir a rastreabilidade e prestação de contas durante todo o tratamento de dados pessoais, incluindo quando os dados pessoais forem compartilhados com terceiros;

– Garantir aos titulares o pleno exercício de todos os direitos previstos na legislação vigente, constantes no capítulo III, da

Lei Geral de Proteção de Dados, especialmente o direito de informação, confirmação, acesso aos dados, revisão, portabilidade, anonimização, bloqueio e eliminação.

Assim, a EMISSORA se compromete a fornecer ao titular explicações suficientes sobre políticas, procedimentos e práticas com relação aos dados pessoais objeto de tratamento, inclusive eventuais alterações em quaisquer desses itens.

- Garantir que as violações de dados sejam notificadas às partes interessadas, conforme requisitos e prazos previstos na legislação vigente, bem como sejam integralmente registradas, classificadas, investigadas, corrigidas e documentadas.

5. Dados pessoais tratados pela EMISSORA.

A EMISSORA poderá tratar, de maneira informada, dados dos seus colaboradores ou de profissionais que estejam em processo de seleção, fornecedores, prestadores de serviços, contratantes e contratados, assim como também o fará com dados recebidos de clientes para o desempenho dos seus serviços, ou dados de participantes dos eventos que venha a promover, entre outros.

Os dados podem ser nome civil ou social, endereço físico e eletrônico, número de telefone, número inscrição no Cadastro de Pessoas Físicas – CPF, dentre outros.

A coleta de dados pessoais sensíveis, como dados sobre origem racial, étnica, convicção religiosa, filiação a sindicato ou a organização de caráter religioso etc., só ocorrerá em hipóteses restritas.

A EMISSORA não executa atividades relacionadas diretamente a crianças ou adolescentes nem recolhe de forma proativa seus dados pessoais. (Caso a emissora colete dados desse tipo em algum momento, essa informação deve ser alterada, conforme cada caso).

Os usuários da informação serão todos os integrantes da EMISSORA e terceiros alocados na prestação de serviços à emissora, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizadas a manipular qualquer ativo de informação da emissora para o desempenho de suas atividades profissionais.

Os dados serão excluídos quando tiverem cumprido as finalidades para as quais foram coletados ou quando o respectivo titular solicitar a sua eliminação, exceto se houver base legal que justifique o seu armazenamento.

6. Papéis e Responsabilidades

6.1 Comitê Gestor De Proteção De Dados Pessoais – CGPD

Obs.: A criação de um Comitê Gestor de Proteção de Dados para a emissora desempenha um papel importante perante a fiscalização do cumprimento à LGPD. No entanto, caso a emissora opte por não o fazer, deverá excluir as disposições existentes

a respeito desse assunto nesta política.

Fica constituído o Comitê Gestor De Proteção De Dados Pessoais (CGPD).

O CGPD será composto de:

– 02 diretores;

– 01 membro gestor da área de privacidade e proteção de dados;

– 01 gestor ou consultor da área de segurança ou de tecnologia da informação;

– 01 gestor de departamento pessoal ou de recursos humanos;

– O encarregado de Proteção de Dados.

É responsabilidade do CGPD:

– Aprovar esta Política, bem como propor as alterações e ajustes necessários;

– Aprovar as diretrizes de proteção da privacidade e de dados pessoais, complementares a esta Política, elaboradas pelo time de Segurança da Informação, bem como propor as alterações e ajustes necessários;

– Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão da Proteção de Dados Pessoais;

– Garantir que o tratamento de Dados Pessoais seja realizado em conformidade com a presente Política e com a legislação vigente;

– Promover a divulgação da presente Política e tomar as ações necessárias para disseminar uma cultura de proteção de Dados Pessoais no ambiente corporativo.

6.2 Encarregado Pelo Tratamento De Dados Pessoais

Obs.: cabe a cada emissora indicar se o encarregado irá cumprir outras funções, para além das que constam abaixo. Caso isso ocorra, elas devem ser acrescidas às demais responsabilidades.

É responsabilidade do Encarregado pelo Tratamento de Dados Pessoais:

– Apoiar o Comitê Gestor De Proteção De Dados Pessoais em suas deliberações;

– Tomar as ações cabíveis para se fazer cumprir os termos desta Política;

– Identificar e avaliar as principais ameaças à proteção de dados, bem como propor e, quando aprovado, apoiar a implantação de medidas corretivas para reduzir o risco;

– Aceitar reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar as providências necessárias;

– Receber comunicações da Autoridade Nacional de Proteção de Dados e adotar as providências necessárias;

– Orientar os integrantes e parceiros da emissora a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

– Atender as demais atribuições, conforme orientação da Autoridade Nacional de Proteção de Dados, definidas em normas complementares publicadas pelo referido órgão;

– Apoiar a gestão das violações de dados pessoais, garantindo tratamento adequado e comunicando, em prazo razoável, a Autoridade Nacional e titulares afetados pela violação, sempre que esta representar riscos ou danos.

6.3 Equipe de Segurança da Informação e de Tecnologia da Informação

É responsabilidade da equipe de Segurança da Informação e de Tecnologia da Informação:

– De acordo com a Política de Segurança da Informação e diretrizes anexas, bem como com a presente Política, implementar os controles necessários para cumprir os requisitos de segurança da informação necessários à proteção da privacidade e de dados pessoais tratados pela emissora.

– Adotar medidas de segurança, tanto técnicas quanto administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme padrões mínimos recomendados pela Autoridade Nacional de Proteção de Dados Pessoais;

– Realizar o tratamento de incidentes de segurança da informação que envolvam o tratamento de dados pessoais, garantindo sua detecção, contenção, eliminação e recuperação dentro de um prazo razoável;

– Apoiar o Encarregado pelo tratamento de dados pessoais na comunicação à Autoridade Nacional e ao titular dos dados pessoais em casos de ocorrência de incidente de segurança que possam acarretar riscos ou danos.

6.4 Usuários da Informação

É responsabilidade dos Usuários da Informação:

– Ler, compreender e cumprir integralmente os termos da presente Política, bem como as demais normas e procedimentos de proteção de dados pessoais aplicáveis;

– Assinar o termo de ciência e adesão à Política, formalizando a ciência e o aceite integral das disposições, bem como das demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;

– Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a presente Política, suas normas e procedimentos ao Encarregado pelo Tratamento de Dados Pessoais ou, quando pertinente, ao Comitê Gestor de Proteção de Dados Pessoais;

– Comunicar ao Encarregado pelo Tratamento de Dados Pessoais qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco Dados Pessoais tratados pela emissora.

– Responder pela inobservância da Política, normas e procedimentos relacionados ao tratamento de Dados Pessoais, conforme definido no item sanções e punições.

7. Sanções e Punições

As violações, mesmo que por mera omissão ou tentativa não consumada, desta Política, bem como demais normas e procedimentos de proteção de dados pessoais, serão devidamente apurados pelo Comitê Gestor de Proteção de Dados Pessoais que pode aplicar a penalidade que entender oportuna, variando entre a penalidade mais branda, advertência, à mais grave, demissão por justa causa, assegurada em todos os casos a ampla defesa.

Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em riscos aos titulares de dados pessoais, ou dano à emissora, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes, sem prejuízo daquelas descritas acima.

8. Casos Omissos

Os casos omissos serão avaliados pelo Comitê Gestor de Proteção de Dados Pessoais para posterior deliberação.

As diretrizes estabelecidas nesta Política e nas demais normas e procedimentos de proteção de dados pessoais não se esgotam

em razão da contínua evolução tecnológica, da legislação vigente e constante surgimento de novas ameaças e requisitos.

Desta forma, não se constitui rol enumerativo, sendo obrigação do usuário da informação da emissora EMISSORA adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção de dados pessoais tratados na emissora.

9. Auditoria interna

A EMISSORA realizará auditorias internas anuais, a serem desenvolvidas pelo Encarregado com o auxílio do time de segurança da informação, no que for necessário, garantido o registro e o relato dos resultados ao Comitê Gestor de Proteção de Dados Pessoais.

10. Revisões

Esta Política é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Proteção de Dados Pessoais.

ASSINATURA DO GESTOR OU DO REPRESENTANTE